<div dir="ltr">Hi,<div><br></div><div><div class="gmail_extra"><div class="gmail_quote">On Wed, Apr 9, 2014 at 5:27 PM, Wilma Hermann <span dir="ltr"><<a href="mailto:wilma.hermann@gmail.com" target="_blank">wilma.hermann@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>Hi,<br><br></div>To answer my own mail, I could resolve both problems. For the sake of completeness, here's how:<br>

<ol><li>I'm using a hook to change a new user's group after creation using the approach from this thread: <a href="http://lists.opennebula.org/pipermail/users-opennebula.org/2013-September/024648.html" target="_blank">http://lists.opennebula.org/pipermail/users-opennebula.org/2013-September/024648.html</a></li>

</ol></div></blockquote><div><br></div><div>You could also put your admin user in the users group as the primary group, and add the admin group as a secondary group. This way it all new users will belong to the 'users' group.</div>

<div><div><div dir="ltr"><br></div><div dir="ltr">Regards<br class="">--<br><div>Carlos Martín, MSc<br>Project Engineer</div><div>OpenNebula - Flexible Enterprise Cloud Made Simple<br><div><span style="border-collapse:collapse;color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px"><a href="http://www.opennebula.org/" target="_blank">www.OpenNebula.org</a> | <a href="mailto:cmartin@opennebula.org" target="_blank">cmartin@opennebula.org</a> | <a href="http://twitter.com/opennebula" target="_blank">@OpenNebula</a></span><span style="border-collapse:collapse;color:rgb(136,136,136);font-family:arial,sans-serif;font-size:13px"><a href="mailto:cmartin@opennebula.org" target="_blank" style="color:rgb(42,93,176)"></a></span></div>

</div></div></div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><ol>

<li><br>
</li><li>The problem here was that I used the vdcadmin view in Sunstone for the user. By debugging I found out that the list of groups in Sunstone is populated by some javascript loaded by the groups panel. In the vdcadmin view, the groups panel is disabled by default, therefore the list of groups is empty. It's arguably either a bug or a strict permission management thing, I can't justice on that. However, if I enable the groups panel and prevent the user from doing changes to the groups, I have everything I wanted to build.</li>


</ol><p>Greetings<br>Wilma<br></p><div><div><div class="gmail_extra"><br><br><div class="gmail_quote">2014-04-07 13:35 GMT+02:00 Wilma Hermann <span dir="ltr"><<a href="mailto:wilma.hermann@gmail.com" target="_blank">wilma.hermann@gmail.com</a>></span>:<div>

<div class="h5"><br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi,<br><br>Thanks for the info, it was very useful. I'm still having two issues: <br>


<br><ol><li>The default group of a new user is the same as the creating user's one. I would like to have new users in the "users" group by default. Is there a way to change this behavior?</li>
<li>In Sunstone, the user doing the user management does not see the existing groups even though he ought to. I created an ACL "#<user_id> GROUP/* USE+MANAGE+ADMIN", but still the list of groups I can assign to a user through Sunstone is empty (Even the string "Please select" does not appear). On the command line, a "oneuser chgrp" works flawlessly using this account, so I guess it's a bug in Sunstone.</li>



</ol><p>Greetings<br>Wilma<br></p>2014-04-04 10:34 GMT+02:00 Carlos Martín Sánchez <<a href="mailto:cmartin@opennebula.org" target="_blank">cmartin@opennebula.org</a>>:<div><div><br>> Hi,<br>><br>> Adding to what Rubén said, the acl modification is only allowed for users in<br>



> the oneadmin group.<br>><br>> Make sure you use the reference command-auth tables in the xml-rpc doc [1]<br>> to create your rules.<br>><br>> For example, oneuser passwd requires USER:MANAGE. The rule "#<user_id><br>



> USER/* USE+MANAGE+ADMIN" will allow your user to change oneadmin's password.<br>> In this case, you will want to create a rule targeting each group (excluding<br>> oneadmin).<br>><br>> Regards<br>



><br>> [1]<br>> <a href="http://docs.opennebula.org/4.4/integration/system_interfaces/api.html#authorization-requests-reference" target="_blank">http://docs.opennebula.org/4.4/integration/system_interfaces/api.html#authorization-requests-reference</a><br>



> --<br>> Carlos Martín, MSc<br>> Project Engineer<br>> OpenNebula - Flexible Enterprise Cloud Made Simple<br>> <a href="http://www.OpenNebula.org" target="_blank">www.OpenNebula.org</a> | <a href="mailto:cmartin@opennebula.org" target="_blank">cmartin@opennebula.org</a> | @OpenNebula<br>



><br>><br>> On Thu, Apr 3, 2014 at 2:19 PM, Ruben S. Montero <<a href="mailto:rsmontero@opennebula.org" target="_blank">rsmontero@opennebula.org</a>><br>> wrote:<br>>><br>>> Hi<br>>><br>


>> Probably, the following may work...<br>
>><br>>> oneacl create "#<user_id> USER/* CREATE"<br>>> oneacl create "#<user_id> USER/* USE+MANAGE+ADMIN"<br>>><br>>> Take a look to the ACL guide for more info:<br>



>><br>>><br>>> <a href="http://docs.opennebula.org/4.4/administration/users_and_groups/manage_acl.html" target="_blank">http://docs.opennebula.org/4.4/administration/users_and_groups/manage_acl.html</a><br>


>><br>>> Cheers<br>
>><br>>> Ruben<br>>><br>>><br>>><br>>> On Thu, Apr 3, 2014 at 12:08 PM, Wilma Hermann <<a href="mailto:wilma.hermann@gmail.com" target="_blank">wilma.hermann@gmail.com</a>><br>>> wrote:<br>



>>><br>>>> Hi,<br>>>><br>>>> Is it possible to assign limited admin rights to certain accounts? I<br>>>> would like to have a user that is allowed to do all the user<br>>>> management (creating users, adding users to existing groups, etc.)<br>



>>> without adding this user to the oneadmin-group. In particular, I would<br>>>> like to deny this user access to all other users' VMs, templates,<br>>>> images, etc. The user also shouldn't have write-access to the ACLs<br>



>>> (otherwise limits would make no sense obviously).<br>>>><br>>>> Greetings<br>>>> Wilma<br>>>> _______________________________________________<br>>>> Users mailing list<br>



>>> <a href="mailto:Users@lists.opennebula.org" target="_blank">Users@lists.opennebula.org</a><br>>>> <a href="http://lists.opennebula.org/listinfo.cgi/users-opennebula.org" target="_blank">http://lists.opennebula.org/listinfo.cgi/users-opennebula.org</a><br>



>><br>>><br>>><br>>><br>>> --<br>>> -- <br>>> Ruben S. Montero, PhD<br>>> Project co-Lead and Chief Architect<br>>> OpenNebula - Flexible Enterprise Cloud Made Simple<br>



>> <a href="http://www.OpenNebula.org" target="_blank">www.OpenNebula.org</a> | <a href="mailto:rsmontero@opennebula.org" target="_blank">rsmontero@opennebula.org</a> | @OpenNebula<br>>><br>>> _______________________________________________<br>



>> Users mailing list<br>>> <a href="mailto:Users@lists.opennebula.org" target="_blank">Users@lists.opennebula.org</a><br>>> <a href="http://lists.opennebula.org/listinfo.cgi/users-opennebula.org" target="_blank">http://lists.opennebula.org/listinfo.cgi/users-opennebula.org</a><br>



>><br>><br><br></div></div></div>
</blockquote></div></div></div><br></div></div></div></div>
</blockquote></div><br></div></div></div>